Descarga la aplicación para disfrutar aún más
Vista previa del material en texto
Auditoría Informática 1Prof. Lic. Marco A. Leiva F. La auditoria informática: �Es la revisión y la evaluación de los controles, sistemas, procedimientos de informática; de los equipos de cómputo, su utilización, eficiencia y seguridad, de la organización que participan en el procesamiento de la información, a fin de que por medio del señalamiento de cursos alternativos se logre una utilización mas eficiente y segura de la información que servirá para una adecuada toma de decisiones. Auditoría Informática 2Prof. Lic. Marco A. Leiva F. UNIDAD II 2. Metodología de auditoría Bibliografía: José Antonio Echenique Capítulo II Auditoría Informática 3Prof. Lic. Marco A. Leiva F. 2. Metodología de auditoría �Una metodología de auditoría es un conjunto de procedimientos documentados de auditoría diseñados para alcanzar los objetivos de la auditoría planeados. Sus componentes son: ִ Declaración del alcance, ִ Declaración de los objetivos de la auditoria y ִ Declaración de los programas de auditoría La metodología de auditoría debería ser formalizada y comunicada a todo el personal de auditoría Auditoría Informática 4Prof. Lic. Marco A. Leiva F. 2.Metodología de auditoría Fases típicas de la auditoría: 2.1. Objetivo de auditoría 2.2. Alcance de la auditoría 2.3. Planificación previa a la auditoría 2.4. Programa de auditoria 2.5. Recopilación de evidencias 2.6. Evaluación de los resultados de pruebas y revisiones 2.7. Preparación del informe de auditoría Auditoría Informática 5Prof. Lic. Marco A. Leiva F. 2.1 OBJETIVOS DE LA AUDITORÍA Los objetivos de auditoría: se refieren a la metas específicas que deben cumplirse por parte de la auditoría. Deben comprender los deseos y pretensiones del cliente, de forma que las metas fijadas puedan ser cumplidas. Los objetivos de auditoría se enfocan a menudo en validar: � Que existan controles internos para minimizar los riesgos del negocio, y que estos funcionen como se espera. � Asegurar que se estén cumpliendo los requerimientos legales, y exista una seguridad razonable implementada sobre los activos, como ser: confidencialidad, integridad y disponibilidad de los recursos de información. Auditoría Informática 6Prof. Lic. Marco A. Leiva F. Ejemplo de definición del objetivo: OBJETIVO DE LA REVISION. �Determinar un nivel de confiabilidad e integridad de los datos, sistemas y programas con relación al entorno de procesamiento electrónico de datos. �Identificar y medir los riesgos relativos al negocio y ambiente de Tecnología Informática, comunicando las recomendaciones para mitigar los riesgos. Auditoría Informática 7Prof. Lic. Marco A. Leiva F. 2.2. Alcance de la auditoria. � El alcance de la auditoria : ha de definir con precisión el entorno y los límites en que va a desarrollarse la auditoria, tiene que ver, con la extensión del examen, la cantidad, profundidad, que área o actividad en particular se va a verificar, el período a examinar: actividades desarrolladas en un año, de un mes, etc. Debe existir un acuerdo muy preciso entre auditores y clientes sobre las funciones, las materias y las organizaciones a auditar y las excepciones de alcance de la auditoría, es decir cuales materias, funciones u organizaciones no van a ser auditadas. Tanto los alcances como las excepciones deben figurar al comienzo del Informe Final. Auditoría Informática 8Prof. Lic. Marco A. Leiva F. Ejemplo de definición de alcance: El alcance de nuestra revisión incluye: �Controles Generales de Tecnología Informática considerando la revisión de las siguientes áreas: �Normas, políticas y procedimientos �Estructura organizativa � Funciones y Responsabilidades �Seguridad Física en el centro de cómputos de la Compañía. �Seguridad Lógica - Procedimientos �Pasaje de desarrollo a producción �Seguridad Lógica - Control de acceso �Procedimientos de altas de usuarios. Auditoría Informática 9Prof. Lic. Marco A. Leiva F. 2.3. Planeación de la Auditoria Para realizar una planeación eficaz se requiere: �Obtener información general sobre la organización y sobre la función de informática a evaluar. �Revisión de los planes estratégicos en el área de TI a corto y largo plazo. � Identificar documentaciones como políticas, procedimientos y estructura de la organización. �Lograr entendimiento respecto a los procesos claves del negocio. Auditoría Informática 10Prof. Lic. Marco A. Leiva F. 2.3. Planeación de la Auditoria (Cont) �Realizar una investigación preliminar y algunas entrevistas previas, con base en esto planear el programa de trabajo. �Se deberá incluir tiempo, costo, personal necesario y documentos auxiliares a solicitar o formular durante el desarrollo de la misma. Auditoría Informática 11Prof. Lic. Marco A. Leiva F. 2.4. Programa de Auditoría El programa de trabajo de auditoría es la estrategia y el plan de auditoría, este identifica el alcance, los objetivos y los procedimientos de auditoría para lograr evidencia suficiente y competente para obtener y sustentar las conclusiones y opiniones de auditoría. Los auditores evalúan las funciones y sistemas de TI desde perspectivas diferentes, tales como: Seguridad (confidencialidad, integridad, disponibilidad) Calidad ( efectividad, eficiencia) Fiduciaria ( cumplimiento, confiabilidad) Servicio( soporte, entrega y la capacidad). Auditoría Informática 12Prof. Lic. Marco A. Leiva F. 2.4.1. Los procedimientos de auditoría Los procedimientos generales de auditoría son los pasos básicos en la ejecución de una auditoría y habitualmente incluyen lo siguiente: ִ Obtención y documentación del conocimiento sobre el área/objeto de la auditoría ִ Evaluación de riesgos ִ Planeación detallada de auditoría ִ Evaluación del área/objeto de auditoría ִ Verificación y evaluación de la corrección de los controles diseñados para cumplir los objetivos de control. Auditoría Informática 13Prof. Lic. Marco A. Leiva F. 2.4.1. Los procedimientos de auditoría (cont) ִPruebas de cumplimientos (pruebas de la implementación de controles y su aplicación consistente) ִPruebas sustantivas (que confirmen la exactitud de la información) ִInforme (comunicación de los resultados) Auditoría Informática 14Prof. Lic. Marco A. Leiva F. Ejemplo de procedimientos aplicados Los procedimientos aplicados comprenden: �Relevamiento de las Normas, Políticas y Procedimientos del área de Tecnología Informática. �Visita al Centro de Cómputos. �Verificación de la estructura organizativa existente en el área de tecnología informática. �Verificación de las tareas correspondiente a la continuidad de procesamiento de datos. �Verificación de las políticas de seguridad existentes. �Análisis de los usuarios que acceden al sistema operativo. .. Etc. Auditoría Informática 15Prof. Lic. Marco A. Leiva F. 2.5. Recopilación de evidencias Se llama evidencia de auditoria a " Cualquier información que utiliza el auditor para determinar si la información cuantitativa o cualitativa que se está auditando, se presenta de acuerdo al criterio establecido". La Evidencia para que tenga valor de prueba, debe ser Suficiente, Competente y Pertinente. �Es suficiente , si el alcance de las pruebas es adecuado. Solo una evidencia encontrada, podría ser no suficiente para demostrar un hecho. �Es pertinente , si el hecho se relaciona con el objetivo de la auditoria. �Es competente , si guarda relación con el alcance de la auditoria y además es creíble y confiable. Auditoría Informática 16Prof. Lic. Marco A. Leiva F. 2.5. Evidencia de Auditoria �También se define la evidencia, como la prueba adecuada de auditoria. La evidencia adecuada es la información que cuantitativamente es suficiente y apropiada para lograr los resultados de la auditoria y que cualitativamente, tiene la imparcialidad necesaria para inspirar confianza y fiabilidad... Auditoría Informática 17Prof. Lic. Marco A. Leiva F. 2.5.1. Evidencia de Auditoria Tipos de Evidencias: 1. EvidenciaFísica: muestra de materiales, mapas, fotos. 2. Evidencia Documental: cheques, facturas, contratos, etc. 3. Evidencia Testimonial: obtenida de personas que trabajan en el negocio o que tienen relación con el mismo. 4. Evidencia Analítica: datos comparativos, cálculos, etc. Auditoría Informática 18Prof. Lic. Marco A. Leiva F. Técnicas de recopilación de la evidencia �Revisión de estructuras organizativas de SI una sólida estructura organizativa con adecuada segregación de funciones es un control general clave en SI �Revisión de los estándares de documentación de SI Se debe buscar un nivel mínimo de documentación de SI ִ Documentos que inician el desarrollo de sistemas ִ Especificaciones de diseño funcional ִ Manuales de documentación de usuario ִ Manuales de operaciones del ordenador ִ Documentos sobre la seguridad Auditoría Informática 19Prof. Lic. Marco A. Leiva F. Técnicas de recopilación de la evidencia �Revisión de la documentación de sistemas ִ Revisar la documentación de un sistema en particular ִ Evaluar si cumple los estándares de la organización �Entrevistas del personal apropiado ִ Su propósito es recopilar evidencias de auditoría ִ Destreza importante, necesaria para los Auditores de SI ִ Planificar la entrevista ִ Documentarla con notas ִ Formularios de entrevistas ִ Listas de control ִ Naturaleza de descubrimiento y no acusatoria Auditoría Informática 20Prof. Lic. Marco A. Leiva F. Técnicas de recopilación de la evidencia �Observación de operaciones y actuación de los empleados ִ Técnica de auditoría clave para muchos tipos de revisiones ִ No ser inoportunos al hacer las observación �Documentarlo con suficiente grado de detalle para poder presentarlo como evidencia Auditoría Informática 21Prof. Lic. Marco A. Leiva F. Papeles de Trabajo Son los archivos o legajos que maneja el auditor y que contienen todos los documentos que sustentan su trabajo efectuado durante la auditoria y constituyen la principal evidencia de la tarea de auditoria realizada y de las conclusiones alcanzadas que se reportan en el informe de auditoria. Estos archivos se dividen en Permanentes y Corrientes; � Archivo permanente: conformados por documentos que tienen el carácter de permanencia en la empresa, es decir, que no cambian y que por lo tanto se pueden volver a utilizar en auditorias futuras; como los Estatutos de Constitución, contratos de servicios, políticas, informe de auditorias anteriores, etc. � Archivo corriente está formado por todos los documentos que el auditor va utilizando durante el desarrollo de su trabajo y que le permitirán emitir su informe previo y final. Auditoría Informática 22Prof. Lic. Marco A. Leiva F. Papeles de Trabajo Los papeles de trabajo son utilizados para: a) Registrar el conocimiento de la entidad y su sistema de control interno. b) Documentar la estrategia de auditoria. c) Documentar la evaluación detallada de los sistemas, las revisiones de transacciones y las pruebas de cumplimiento. d) Documentar los procedimientos de las pruebas de sustentación aplicadas a las operaciones de la entidad. e) Mostrar que el trabajo de los auditores fue debidamente supervisado y revisado f) Registrar las recomendaciones para el mejoramiento de los controles observados durante el trabajo. Auditoría Informática 23Prof. Lic. Marco A. Leiva F. Hallazgos: Se considera que los hallazgos en auditoria son las diferencias significativas encontradas en el trabajo de auditoria con relación a lo normado o a lo presentado por la gerencia. Atributos del hallazgo: 1. Condición: la realidad encontrada 2. Criterio: cómo debe ser (la norma, la ley, el reglamento, lo que debe ser) 3. Causa: qué originó la diferencia encontrada. 4. Efecto: qué efectos puede ocasionar la diferencia encontrada. Auditoría Informática 24Prof. Lic. Marco A. Leiva F. Hallazgos: Al plasmar el hallazgo el auditor primeramente indicará el título del hallazgo, luego los atributos, a continuación indicará la opinión de la personas auditadas sobre el hallazgo encontrado, posteriormente indicará su conclusión sobre el hallazgo y finalmente hará las recomendaciones pertinentes. Es conveniente que los hallazgos sean presentados en hojas individuales. Solamente las diferencias significativas encontradas se pueden considerar como hallazgos (generalmente determinadas por la Materialidad), aunque en el sector público se deben dar a conocer todas las diferencias, aun no siendo significativas. Auditoría Informática 25Prof. Lic. Marco A. Leiva F. 2.6. Las Pruebas de Auditoria Son técnicas o procedimientos que utiliza el auditor para la obtención de evidencia comprobatoria. Las pruebas pueden ser de tres tipos: a) Pruebas de Control b) Pruebas Analíticas c) Pruebas Sustantivas Auditoría Informática 26Prof. Lic. Marco A. Leiva F. 2.6. Las Pruebas de Auditoria �Las pruebas de control están relacionadas con el grado de efectividad del control interno imperante. �Las pruebas analíticas se utilizan haciendo comparaciones entre dos o más estados financieros o haciendo un análisis de las razones financieras de la entidad para observar su comportamiento. �Las pruebas sustantivas son las que se aplican a cada cuenta en particular en busca de evidencias comprobatorias. Ejemplo, un arqueo de caja chica, circulación de saldos de los clientes, etc. Auditoría Informática 27Prof. Lic. Marco A. Leiva F. 2.7. El Informe: El informe de Auditoría debe contener a lo menos: 1- Dictamen sobre el área auditada. 2- Informe sobre la estructura del Control Interno de la entidad. 3- Conclusiones y recomendaciones resultantes de la Auditoría,. 4- Deben detallarse en forma clara y sencilla, los hallazgos encontrados. Auditoría Informática 28Prof. Lic. Marco A. Leiva F. Metodología de auditorías informáticas �Conocimiento general del área de sistemas ִOrganigrama ִEstructura del área o departamento ִRelaciones funcionales y jerárquicas ִRecursos (equipos con los que se cuenta) ִAplicaciones en desarrollo ִAplicaciones en producción Auditoría Informática 29Prof. Lic. Marco A. Leiva F. �Planificación ִDefinición de objetivos y alcances ִPersonas de la organización que se involucrarán en el proceso de auditoría ִPlan de trabajo Tareas Calendario Resultados parciales Presupuesto Metodología de auditorías informáticas Auditoría Informática 30Prof. Lic. Marco A. Leiva F. �Desarrollo de la auditoría ִEntrevistas ִCuestionarios ִObservación de las situaciones deficientes ִObservación de los procedimientos � Fase de diagnóstico ִDefinición de los puntos débiles y fuertes, los riesgos eventuales y posibles tipos de solución y mejora �Presentación de conclusiones ִIntegración de soporte documental ִFormulación de observaciones y papeles de trabajo ִInforme final Metodología de auditorías informáticas Auditoría Informática 31Prof. Lic. Marco A. Leiva F. � Formación del plan de mejoras ִResumen de las deficiencias encontradas ִRecogerá las recomendaciones encaminadas a paliar las deficiencias detectadas ִMedidas a corto plazo: mejoras en plazo, calidad, planificación o formación ִMedidas a medio plazo: mayor necesidad de recursos, optimización de programas o documentación y aspectos de diseño ִMedidas a largo plazo: cambios en políticas, medios y estructuras del servicio ִSeguimiento de cumplimiento de recomendaciones Metodología de auditorías informáticas Auditoría Informática 32Prof. Lic. Marco A. Leiva F. � MUCHAS GRACIAS
Compartir